Na confer\u00eancia internacional Security Analyst Summit, nossos especialistas da Equipe Global de Pesquisa e An\u00e1lise da Kaspersky (GReAT, na sigla em ingl\u00eas) apresentaram algumas pesquisas extremamente interessantes. N\u00e3o repetiremos cada uma delas detalhadamente, apenas resumiremos brevemente os fatos mais relevantes.<\/p>\n
Esta \u00e9 quase uma hist\u00f3ria de detetive sobre um malware que anteriormente foi detectado como um minerador comum da criptomoeda Monero, mas na verdade era um disfarce para uma amea\u00e7a modular complexa, capaz de infectar computadores que executam Windows e Linux. V\u00e1rios m\u00f3dulos StripedFly podem roubar informa\u00e7\u00f5es de um computador, fazer capturas de tela, gravar \u00e1udio de um microfone e interceptar senhas de Wi-Fi. No entanto, ele \u00e9 \u00fatil n\u00e3o apenas para espionagem: tamb\u00e9m possui m\u00f3dulos que podem funcionar como ransomware e para minera\u00e7\u00e3o de criptomoedas.<\/p>\n
O interessante \u00e9 que a amea\u00e7a pode se espalhar usando o exploit EthernalBlue, embora esse vetor tenha sido corrigido em 2017. Al\u00e9m disso, o StripedFly pode usar chaves e senhas roubadas para infectar sistemas Linux e Windows com um servidor SSH em execu\u00e7\u00e3o. Um estudo detalhado com indicadores de comprometimento pode ser encontrado no blog Securelist<\/a>.<\/p>\n Outro relat\u00f3rio apresentado no Security Analyst Summit foi dedicado \u00e0 conclus\u00e3o da investiga\u00e7\u00e3o da Opera\u00e7\u00e3o Triangula\u00e7\u00e3o. Ela, entre outras coisas, teve como alvo os nossos colaboradores. Uma an\u00e1lise detalhada da amea\u00e7a permitiu que nossos especialistas detectassem cinco vulnerabilidades no sistema iOS usadas para viabilizar este ataque. Quatro delas (CVE-2023-32434<\/a>, CVE-2023-32435<\/a>, CVE-2023-38606<\/a> e CVE-2023-41990<\/a>) eram vulnerabilidades zero-day. Elas afetaram n\u00e3o apenas o iPhone, mas tamb\u00e9m iPod, iPad, macOS, Apple TV e Apple Watch. Descobriu-se tamb\u00e9m que, al\u00e9m de infectar dispositivos via iMessage, os invasores poderiam atacar o navegador Safari. Neste post<\/a>, voc\u00ea pode saber mais detalhes sobre a atua\u00e7\u00e3o dos nossos especialistas no contexto desta investiga\u00e7\u00e3o.<\/p>\n O terceiro relat\u00f3rio dos especialistas do GReAT foi dedicado aos novos ataques realizados pelo Lazarus APT. Este grupo agora tem como alvo os desenvolvedores de software (alguns dos quais foram atacados v\u00e1rias vezes) e est\u00e1 empregando ativamente ataques \u00e0 cadeia de suprimentos.<\/p>\n O Lazarus infecta o sistema e aplica um novo implante SIGNBT atrav\u00e9s de vulnerabilidades em softwares leg\u00edtimos para criptografar comunica\u00e7\u00f5es na web, cuja parte principal opera apenas na mem\u00f3ria. Ele serve para estudar a v\u00edtima (obter configura\u00e7\u00f5es de rede, nomes de processos e usu\u00e1rios), bem como lan\u00e7ar carga maliciosa adicional. Em particular, ele baixa uma vers\u00e3o melhorada da j\u00e1 conhecida backdoor LPEClient, que tamb\u00e9m roda na mem\u00f3ria e, por sua vez, lan\u00e7a malware capaz de roubar credenciais ou outros dados. Informa\u00e7\u00f5es t\u00e9cnicas sobre as novas ferramentas do grupo Lazarus APT, bem como indicadores de comprometimento, tamb\u00e9m podem ser encontradas no blog Securelist<\/a>.<\/p>\n Al\u00e9m disso, especialistas forneceram detalhes do ataque TetrisPhantom, direcionado \u00e0s ag\u00eancias governamentais na regi\u00e3o da \u00c1sia-Pac\u00edfico. O TetrisPhantom depende do comprometimento de certos tipos de unidades USB seguras que fornecem criptografia de hardware e s\u00e3o comumente usadas por organiza\u00e7\u00f5es governamentais. Ao investigar esta amea\u00e7a, os especialistas identificaram toda uma campanha de espionagem que utiliza uma s\u00e9rie de m\u00f3dulos maliciosos para executar comandos, coletar arquivos e informa\u00e7\u00f5es de computadores comprometidos e transferi-los para outras m\u00e1quinas tamb\u00e9m usando unidades USB seguras. Alguns detalhes sobre esta campanha podem ser encontrados em nosso relat\u00f3rio trimestral sobre amea\u00e7as de APT<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Quatro grandes estudos apresentados pelos nossos especialistas na confer\u00eancia internacional SAS 2023.<\/p>\n","protected":false},"author":2706,"featured_media":21929,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[3234,71,373,141],"class_list":{"0":"post-21926","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-thesas2023","10":"tag-apt","11":"tag-pesquisa","12":"tag-sas"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sas-2023-research\/21926\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sas-2023-research\/26558\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sas-2023-research\/21984\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sas-2023-research\/29254\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sas-2023-research\/26841\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sas-2023-research\/26796\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sas-2023-research\/29282\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sas-2023-research\/28156\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sas-2023-research\/36474\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sas-2023-research\/49448\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sas-2023-research\/21136\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sas-2023-research\/30625\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sas-2023-research\/34946\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sas-2023-research\/27124\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sas-2023-research\/32837\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sas-2023-research\/32485\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=21926"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21926\/revisions"}],"predecessor-version":[{"id":21928,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/21926\/revisions\/21928"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/21929"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=21926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=21926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=21926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Detalhes da Opera\u00e7\u00e3o Triangula\u00e7\u00e3o<\/h2>\n
Nova campanha do Lazarus<\/h2>\n
Ataque TetrisPhantom<\/h2>\n